Soru: Güvenlik programımın yatırım getirisini nasıl gösterebilirim?
Neal Bridges, Query.AI’de CISO: Güvenlik programlarının yatırım getirisini gösterirken güvenlik ekiplerinin yapması gereken üç şey vardır.
Birincisi, güvenliğin “HAYIR ofisi” rolüne ilişkin algıyı değiştirmek. Güvenlik programları, rollerinin, riskleri ortadan kaldırmak değil, işletmenin RİSKLER ALMASINI ETKİNLEŞTİRMEK olduğunu benimsemelidir. Örneğin, bir şirketin riskli siber yasaları veya operatörleri olan yüksek riskli bir ülkede operasyonlar kurması gerekiyorsa, çoğu güvenlik ekibinin ani tepkisi “hayır” demek oluyor. Gerçekte, güvenlik ekibinin görevi, siber güvenlik tehditlerini tanımlayabilen, algılayabilen ve bunlara yanıt verebilen sağlam güvenlik programları oluşturarak şirketin bu riski almasını sağlamaktır. Şirket liderleri, güvenlik ekiplerinin iş hedeflerine ulaşmalarına yardımcı olmaya çalıştığını gördüklerinde, güçlü bir siber güvenlik programının değerini daha iyi görebilirler.
Benzer şekilde, siber güvenlik ekipleri de şirketlerinin iş hedeflerini anlamalı ve güvenlik girişimlerini buna göre düzenlemelidir. Çok fazla güvenlik ekibi, güvenlik girişimlerini iş için öncelikler olarak zorlamaya çalışır, ancak aslında bu girişimler iş için olumsuz olabilir. Örneğin, iş amacının, kullanım ömrü sona ermiş işletim yazılımı çalıştıran bir hattaki üretimi artırmak olduğunu varsayalım. Bazı güvenlik uzmanları, bir saldırıyla ilişkili kapalı kalma süresini önlemek amacıyla güvenlik kontrollerini artıracaktır. Ancak bu yaklaşım üretkenliği artırmaz – aslında tam tersi bir etkiye sahip olabilir ve üretim verimliliğini azaltabilir.
Bunun yerine, güvenlik ekiplerinin bir adım geri atması ve üretim hattında üretkenliği artıran bir güvenlik stratejisini NASIL uygulayabileceklerini değerlendirmesi gerekir. Daha iş merkezli bir yaklaşım, iş dayanıklılık hedeflerini desteklemek için daha iyi tanımlama ve müdahale önlemleri oluşturmak, üretim ortamını izole eden cihazlara yönelik uyarıların doğruluğunu artırmak ve hazırlanmak için daha sık olay müdahalesi veya kriz eylemi alıştırmaları yapmak gibi şeyler yapmak olabilir. bir üretim siber saldırısı. CEO ve CFO’nun en büyük işletme sürücüleri olarak ne bulduğunu anlamak ve siber güvenlik stratejilerinizi bu etkenlere göre ayarlamak, sonuçta siberin karlı iş hedeflerine bağlı olduğu ve böylece siber harcamaların yatırım getirisini artırdığı algısıyla ilişkilendirilecektir.
Son olarak, siber ekipler, ölçümlerini iş liderlerinin anlayabileceği bir şekilde nasıl raporlayacaklarını bulmalıdır. Buna bir örnek, şirketin iş yaptığı riskli bir ülkeden kaynaklanan kaç siber saldırı gördüğünü bildiren bir güvenlik ekibidir. Bir işletme kârlıysa, yürütme ekibi potansiyel olarak binlerce siber saldırı üzerinde hemen bir etki görmeyebilir’ hakkında yeniden rapor veriyor. Ancak güvenlik ekibi, belirli bir bölgede kimlik avına yanıt vermek için ne kadar zaman harcandığını, USB kötü amaçlı yazılımı nedeniyle her ay kaç dizüstü bilgisayarın yeniden görüntülenmesi gerektiğini veya bir üretim hattının bu sorun nedeniyle ne kadar kesintiye uğradığını göstermek için metriklerini biraz geliştirirse. Ömrünü tamamlamış bir işletim sistemi olarak, bu siber güvenlik sorunlarını riskli durumlarda gelir kaybıyla doğrudan ilişkilendirebilirler. Ve bu bilgi, iş liderlerinin güvenlik risklerini, iş üzerindeki potansiyel etkilerini ve güvenliğin kuruluşu güvende tutmadaki rolünü daha iyi anlamak için ihtiyaç duyduğu şeydir.